글로벌 사이버 보안 기업 카스퍼스키는 19일 자사의 글로벌 리서치 및 분석팀(GReAT)이 페루 현지 사용자를 겨냥하여 ‘대금청구서’를 위장해 ‘사용자 은행 자격 증명’을 탈취하는 ‘자누비스(Zanubis)’ 모바일 뱅킹 트로이목마의 새로운 변종을 발견했다고 밝혔다.

자누비스는 지난 2022년에 처음 등장했으며, 당시에는 PDF 리더기 또는 페루 정부 기관의 앱으로 위장했지만, 2025년 현재에는 전 세계 에너지 기업과 은행 앱으로 위장하고 있다.

이 악성코드는 고도화된 사회공학 기법을 활용해 사용자가 해당 앱을 다운로드하고 설치하도록 유도하며, 은행 자격 증명 및 디지털/암호화폐 지갑 키를 탈취한다. 

또한 키로깅과 화면 녹화 등 다양한 악성 기능도 수행한다. 카스퍼스키는 이번 캠페인에서 130건 이상의 피해자를 탐지했으며, 해당 악성코드를 모니터링하기 시작한 이후 누적 피해자는 약 1,250명에 달한다.

안드로이드 기반 스마트폰에서는 앱을 여러 스토어에서 설치할 수 있을 뿐만 아니라, APK 파일을 직접 설치하여 스토어를 우회할 수도 있다. 자누비스는 이 APK 파일을 통해 피해자의 스마트폰에 침투했다. 

에너지 회사를 위장한 경우, 악성 APK는 “Boleta_XXXXXX.apk”(“청구서”) 또는 “Factura_XXXXXX.apk”(“송장”)와 같은 이름으로 배포되어, 사용자가 실제 청구서를 열람하거나 확인하는 것으로 믿도록 속인다. 이 앱들은 가짜 송장 확인 도구로 위장하며, 사용자가 미지급 송장을 확인하려면 고객 정보를 입력하라고 요구한다. 

한편, 은행 앱으로 위장한 경우에는 가짜인 은행 상담사로부터의 안내라는 명목으로 사용자가 악성코드를 다운로드하도록 유도한다.

사용자가 앞서 언급된 APK 파일을 다운로드해 실행하면, 조직의 로고를 도용한 초기 화면이 나타나며 필수 확인 절차가 진행 중이라는 메시지가 표시된다. 이후 앱은 접근 권한을 요구하며, 이는 정상 작동을 위해 필요하다고 주장한다.

안드로이드의 접근 권한은 주로 장애인 사용자 지원 기능을 위해 사용되며, 앱이 장치 인터페이스와 기능의 다양한 측면과 상호작용하거나 제어할 수 있도록 한다.

그러나 악성 앱이 이 권한을 얻으면 공격자는 화면 내용 및 알림을 읽어 사용자의 비밀번호, 메시지, 금융 정보 등 민감한 데이터를 은밀히 수집할 수 있다. 자누비스의 공격자들은 바로 이러한 방법을 통해 금융 정보 탈취 및 개인정보 접근을 수행했다.

자누비스의 배후 공격자는 페루 현지에서 활동 중일 가능성이 높다. 코드 내에 라틴아메리카 지역 스페인어가 지속적으로 사용되고 있으며, 페루의 은행 및 정부 기관에 대한 높은 이해도를 보이고 있다.

카스퍼스키의 글로벌 위협 분석 팀(GReAT)의 레안드로 쿠오초 연구원은 "자누비스는 단순한 뱅킹 트로이목마에서 고도화된 다기능 위협으로 진화했다. 그 주요 표적은 여전히 돈을 크게 탈취할 수 있는 금융기관이며, 특히 페루 내 은행을 집중적으로 노리고 있다"며 "공격자들은 전혀 멈추지 않고 있으며, 지속적으로 유포 방식을 바꿔가며 새로운 피해자에게 조용히 접근한다"고 밝혔다.

따라서 "개인 및 기업 사용자는 보안에 대한 경각심을 유지하고, 디지털 활용 능력 수준을 높이며, 신뢰할 수 있는 보안 솔루션을 사용하여 이러한 위협에 대비해야 한다"고 말했다.

카스퍼스키 이효은 한국지사장은 "자누비스 트로이목마의 진화는 한국을 포함한 모든 시장에 중요한 교훈을 준다"며 "사이버 범죄자들은 브랜드에 대한 신뢰와 ‘지급의 긴급성’을 악용해 지속적으로 공격 방식을 정교화하고 있다"고 말했다.

그는 "이번 공격은 페루를 겨냥했지만, 그 기법은 보편적인 위협이다"며 "특히 모바일 중심으로 경제가 움직이는 한국에서는 앱의 출처를 확인하고, 권한을 꼼꼼히 검토하며, 선제적인 보안 조치를 취하는 제로 트러스트 사고방식이 필요하다"고 했다. 그러면서 "공식 앱스토어만으로는 부족하며, 사용자의 경계심이 가장 중요한 방어선"이라고 말했다.[파이낸셜신문=임권택 기자 ]

임권택 기자 다른기사 보기